The #ChromeDevSummit site is live, happening Nov 12-13 in San Francisco, CA
Check it out for details and request an invite. We'll be diving deep into modern web tech & looking ahead to the platform's future.

อภิธานศัพท์สำหรับไซต์ที่ถูกแฮ็ก

อภิธานศัพท์นี้ครอบคลุมกลุ่มคำศัพท์ทางเทคนิคที่มีการกล่าวถึงทั่วเอกสารประกอบด้านความปลอดภัยของเรา รายการศัพท์จะเรียงลำดับตามตัวอักษร โดยศัพท์แต่ละคำจะแสดงเป็นตัวหนาและตามด้วยคำจำกัดความของคำนั้นๆ

สิทธิ์ของผู้ดูแลระบบ
สิทธิ์ของผู้ดูแลระบบเป็นการตั้งค่าบัญชีสิทธิ์ที่มีระดับสูงสุดในระบบ สิทธิ์ประเภทนี้อนุญาตให้ดำเนินการต่างๆ อย่างเช่น ลบไซต์ทั้งไซต์ รีเซ็ตรหัสผ่าน หรืออัปโหลดไฟล์

ประตูหลัง
ประตูหลังเป็นโปรแกรมที่ติดตั้งในระบบเพื่อข้ามการควบคุมการตรวจสอบสิทธิ์และดูแลสิทธิ์การเข้าถึง

การปิดบังหน้าเว็บจริง
การปิดบังหน้าเว็บจริงหมายถึงแนวทางปฏิบัติที่แสดงเนื้อหาหรือ URL ต่อผู้ใช้ที่เป็นมนุษย์และเครื่องมือค้นหาอย่างแตกต่างกัน

ตัวอย่างเช่น สคริปต์แบบไดนามิกและกฎของ .htaccess สามารถแสดงรหัสสถานะตามคำขอที่มีการดำเนินการ ซึ่งเมื่อใช้กลวิธีนี้ แฮ็กเกอร์จะซ่อนร่องรอยของตนด้วยการแสดงรหัสข้อผิดพลาด 404 หรือ 500 แก่ที่อยู่ IP เฉพาะบางรายการหรือเบราว์เซอร์บางประเภท แต่ในขณะเดียวกันก็แสดงสแปมแก่ที่อยู่ IP หรือเบราว์เซอร์อื่น

ไฟล์การกำหนดค่า
ไฟล์การกำหนดค่าใช้สำหรับเก็บข้อมูลอย่างเช่น ตำแหน่งของฐานข้อมูลและข้อมูลรับรองสำหรับไซต์แบบไดนามิก

ระบบจัดการเนื้อหา (CMS)
ระบบจัดการเนื้อหาคือแพ็กเกจซอฟต์แวร์ที่ช่วยให้ผู้ใช้สร้างและแก้ไขเว็บไซต์ได้อย่างง่ายดาย ตัวอย่างเช่น WordPress, Drupal และ Joomla! และยังมีระบบอื่นๆ อีกมากมาย รวมถึงระบบที่สร้างขึ้นตามความต้องการของผู้ใช้

ผู้เชี่ยวชาญด้านการตรวจพิสูจน์พยานหลักฐานดิจิทัล
ผู้เชี่ยวชาญด้านการตรวจพิสูจน์พยานหลักฐานดิจิทัลคือบุคคลหรือทีมที่ช่วยคุณทำความสะอาดไซต์และระบุว่าไซต์ถูกบุกรุกได้อย่างไร

หน้าเว็บแบบคงที่
หน้าเว็บแบบคงที่มีไฟล์ที่ไม่มีการเปลี่ยนแปลงไฟล์เดียวที่ใช้แสดงเนื้อหาสำหรับเว็บไซต์หนึ่งๆ

หน้าเว็บแบบไดนามิก
หน้าเว็บแบบไดนามิกใช้สคริปต์เพื่อสร้างเนื้อหาในไซต์ โดยจะใช้ซอฟต์แวร์เพื่อสร้างหน้าเว็บทุกๆ ครั้งที่มีการขอหน้าและใช้สคริปต์และเทมเพลตร่วมกันเพื่อวางเนื้อหา

eval()
ใน PHP และ JavaScript นั้น eval() เป็นฟังก์ชันที่ใช้ประเมินสตริงและส่งผลลัพธ์กลับไป ไม่แนะนำให้ใช้ฟังก์ชัน Eval เมื่อไซต์ต้องจัดการกับข้อมูลที่ผู้ใช้ป้อน เนื่องจากจะเปิดช่องโหว่ให้ผู้โจมตีลอบเข้ามาวางโค้ดที่เป็นอันตราย (กล่าวคือ แทรกคำสั่ง PHP ที่เป็นอันตราย)

FTP
โปรโตคอลการถ่ายโอนไฟล์ (FTP) เป็นโปรโตคอลที่ใช้สำหรับโอนไฟล์จากคอมพิวเตอร์เครื่องหนึ่งไปยังอีกเครื่องหนึ่ง

ไฟล์ที่ซ่อนไว้
ไฟล์ที่ซ่อนไว้คือไฟล์ที่ไม่แสดงในไดเรกทอรีโดยค่าเริ่มต้น ซึ่งโดยปกติแล้ว ไฟล์ต่างๆ เช่น .htaccess จะถูกซ่อนไว้เพื่อปกป้องข้อมูลสำคัญจากการแก้ไขโดยไม่ได้ตั้งใจ คุณต้องกำหนดค่าระบบไฟล์เพื่อให้ดูและแก้ไขไฟล์ที่ซ่อนอยู่ได้

รหัสสถานะ HTTP
รหัสสถานะ HTTP เป็นการตอบกลับแบบมาตรฐานที่เว็บเซิร์ฟเวอร์จะส่งกลับมาพร้อมกับเนื้อหาเมื่อผู้ใช้พยายามโต้ตอบกับหน้าเว็บ เช่น โหลดหน้าเว็บหรือส่งความคิดเห็น รหัสดังกล่าวช่วยให้ผู้ใช้ทราบว่าเว็บไซต์ตอบกลับมาอย่างไรหรือพบข้อผิดพลาดใดบ้าง โปรดดูหน้ารหัสสถานะของ World Wide Web Consortium เพื่อดูรายการรหัสสถานะทั้งหมดรวมทั้งความหมาย

iFrame
iFrame ช่วยให้หน้าเว็บแสดงเนื้อหาจากหน้าหนึ่งในอีกหน้าหนึ่งได้ iFrame ที่ซ่อนอยู่เป็นกลวิธีทั่วไปที่แฮ็กเกอร์ใช้เพื่อเปลี่ยนเส้นทางผู้ใช้ไปยังไซต์ของตน

ไฟล์บันทึก
ไฟล์บันทึกคือไฟล์ที่เว็บเซิร์ฟเวอร์ใช้บันทึกคำขอของผู้ใช้เพื่อติดตามกิจกรรมทั้งหมดที่ทำในเซิร์ฟเวอร์ คุณสามารถระบุว่ามีการพยายามแฮ็กเกิดขึ้นหรือมีการเข้าชมไซต์ที่น่าสงสัยได้โดยดูจากไฟล์บันทึกนี้

มัลแวร์
มัลแวร์คือซอฟต์แวร์ใดก็ตามที่ออกแบบมาเพื่อทำอันตรายแก่คอมพิวเตอร์ ซอฟต์แวร์ที่คอมพิวเตอร์ใช้ หรือผู้ใช้คอมพิวเตอร์นั้น เรียนรู้เพิ่มเติมเกี่ยวกับมัลแวร์

การสร้างความสับสน
การสร้างความสับสนเป็นกลวิธีในการทำให้ผู้ที่พยายามทำความเข้าใจโค้ดเกิดความสับสนด้วยการทำให้โค้ดอ่านยากขึ้น วิธีที่แฮ็กเกอร์มักใช้สร้างความสับสนคือการใส่สิ่งที่ใช้แทนอักขระ ชื่อตัวแปรที่มีเจตนาให้เกิดความสับสน การใช้การเข้ารหัส เช่น base64, rot13, gzip, การเข้ารหัส URL, การเข้ารหัสแบบ Hex หรือการใช้หลายๆ แบบร่วมกัน บางครั้งก็มีการใช้วิธีการอย่างเช่น base64 และ gzip เพื่อบีบอัดและซ่อนโค้ดปริมาณมาก เช่น Web Shell ทั้งหมด

ฟิชชิง
ฟิชชิงเป็นวิศวกรรมสังคมรูปแบบหนึ่งที่หลอกผู้ใช้ให้เปิดเผยข้อมูลที่ละเอียดอ่อน (เช่น ชื่อผู้ใช้หรือรหัสผ่าน) โดยปลอมแปลงเป็นต้นทางที่เชื่อถือได้ ตัวอย่างเช่น ผู้โจมตีที่ใช้วิธีการฟิชชิงจะส่งอีเมลถึงผู้ที่อาจตกเป็นเหยื่อ โดยแอบอ้างว่าส่งมาจากธนาคารและขอข้อมูลรับรองบัญชีธนาคารของบุคคลนั้น เรียนรู้เพิ่มเติมเกี่ยวกับฟิชชิง

Search Console
Search Console คือบริการฟรีจาก Google ที่ช่วยให้คุณตรวจสอบและดูแลให้ไซต์ของคุณปรากฏในผลการค้นหาของ Google นอกจากนี้ Google ยังใช้ Search Console เพื่อสื่อสารกับผู้ดูแลเว็บเกี่ยวกับปัญหาต่างๆ ของเว็บไซต์อีกด้วย เรียนรู้เพิ่มเติมเกี่ยวกับ Search Console

แผนผังไซต์
แผนผังไซต์คือไฟล์ที่มีรายการหน้าเว็บของไซต์หนึ่งๆ ซึ่งบอกเครื่องมือค้นหาเกี่ยวกับการจัดเนื้อหาในไซต์ เรียนรู้เพิ่มเติมเกี่ยวกับแผนผังไซต์

วิศวกรรมสังคม
วิศวกรรมสังคมเป็นเทคนิคเพื่อให้ได้มาซึ่งสิทธิ์ในการเข้าถึงหรือควบคุมข้อมูลที่ละเอียดอ่อน โดยพยายามหลอกให้ผู้คนให้สิทธิ์เข้าถึง แทนที่จะจู่โจมโค้ดโดยตรง วิศวกรรมสังคมที่พบมากที่สุดรูปแบบหนึ่งก็คือฟิชชิง เรียนรู้เพิ่มเติมเกี่ยวกับวิศวกรรมสังคม

การเข้าชมที่เพิ่มขึ้นมากอย่างฉับพลัน
การเข้าชมที่เพิ่มขึ้นมากอย่างฉับพลันคือการเข้าชมเว็บไซต์ที่มีปริมาณเพิ่มขึ้นมากอย่างทันทีทันใดหรืออย่างไม่คาดคิด

การตรวจสอบสิทธิ์แบบ 2 ปัจจัย (2FA)
การตรวจสอบสิทธิ์แบบ 2 ปัจจัยคือกลไกการรักษาความปลอดภัยในการเข้าสู่ระบบบัญชีโดยกำหนดให้ผู้ใช้ระบุโทเค็นเพื่อยืนยันตัวตนอย่างน้อย 2 รายการ เช่น ผู้ใช้ที่ใช้การตรวจสอบสิทธิ์แบบ 2 ปัจจัยจะต้องใช้ทั้งรหัสผ่านและรหัสความปลอดภัยที่ได้รับผ่านทาง SMS เพื่อเข้าถึงบัญชีของตน

บริการเว็บโฮสติ้ง
บริการเว็บโฮสติ้งให้พื้นที่แก่ผู้ใช้ในการโฮสต์ไซต์ของตนในเว็บเซิร์ฟเวอร์ อย่างเช่น Google Sites โดยอาจให้บริการฟีเจอร์หรือเครื่องมือเพิ่มเติม ขึ้นอยู่กับบริการนั้นๆ

ภาษาสคริปต์สำหรับเว็บ
ภาษาสคริปต์สำหรับเว็บมักใช้ร่วมกับ HTML เพื่อให้ไซต์มีฟีเจอร์พิเศษเพิ่มเข้ามา เช่น การใช้ภาษาสคริปต์เพื่อประมวลผลฟอร์ม กลั่นกรองความคิดเห็น หรือสร้างเทคนิคพิเศษทางภาพ โดยในบริบทของคำแนะนำการกู้คืนจากการถูกแฮ็ก จะใช้คำว่า "ภาษาสคริปต์" เมื่อต้องการกล่าวถึง PHP หรือ JavaScript

PHP เป็นภาษาสคริปต์ฝั่งเซิร์ฟเวอร์ ซึ่งหมายความว่าเว็บเซิร์ฟเวอร์จะแปลความหมายและเรียกใช้คำสั่งต่างๆ ของภาษานี้

JavaScript โดยพื้นฐานแล้วจะเป็นภาษาฝั่งไคลเอ็นต์ ซึ่งหมายความว่าเบราว์เซอร์ของผู้ใช้จะแปลความหมายและเรียกใช้คำสั่งต่างๆ ของภาษานี้

เว็บเซิร์ฟเวอร์
เว็บเซิร์ฟเวอร์คือเครื่องคอมพิวเตอร์และซอฟต์แวร์ที่โฮสต์และควบคุมหน้าเว็บ ตลอดจนไฟล์อื่นๆ ที่เกี่ยวข้องกับเว็บไซต์หนึ่งๆ

Web Shell
Web Shell เป็นสคริปต์ประตูหลังที่ช่วยให้ผู้โจมตีมีสิทธิ์เข้าถึงเซิร์ฟเวอร์ได้เสมอ

เว็บสแปม
เว็บสแปมเป็นกลวิธีในการปรับแต่งเว็บไซต์ให้ติดอันดับในเครื่องมือการค้นหา (SEO) อย่างไม่ถูกต้อง หรือเนื้อหาสแปมที่พยายามกระตุ้นอันดับหรือความนิยมของไซต์โดยการหลอกลวงและการใช้เทคนิคต่างๆ กับเครื่องมือค้นหา